отлов Левого PPPoE сервер в сети, anad, 03-Мрт-08, 11:56 [смотреть все]По понятным причинам не хочется вязяться к мас адресу серверов PPPoE. Известны порты к которым может/не может быть подключен легалльный PPPoE сервер. Сколько не искал, не получилось сделать ничего ранее возникновения PADO пакета ( то есть просто его рубим и не проходит соединением) . Теперь, при наличии ложного сервера в сети, довольно часто клиент получает сообщение "удаленный сервер не ответил". Ситуация, вроде как, не нормальная - при отсутвии PADО пакета клиент должен начать работать со следующим сервисом,предоставившим ему ответет на дискавери пакет. Куда копать ? - В фильтры (хотя много раз проверил) или придется все же по макам. Или тестовый стенд менять. Правило фильтрации в данный момент такое. если тип ETH пакета 8863 и поле код PPPoE протокола установлено в 07 - входящий пакет с порта ( не из списка где можно) - deny.
|
- отлов Левого PPPoE сервер в сети, chesnok, 14:32 , 03-Мрт-08 (1)
- отлов Левого PPPoE сервер в сети, anad, 15:06 , 03-Мрт-08 (2)
>[оверквотинг удален] >>Правило фильтрации в данный момент такое. >>если тип ETH пакета 8863 и поле код >>PPPoE протокола установлено в 07 - входящий пакет с >>порта ( не из списка где можно) - deny. > >можно так: >на всех портах разрешается PADI >на порту, к которому подключен PPPoE AC разрешается PADO >cоответсвенно все нелегальные PPPoE AC не смогут ответить на запрос сервиса от >клиентов вообще фильтр и должен это делать, у PADO пакет и будет иметь 07 как признак пакета ( то есть со смещения 17 смотрим чтобы пакет не был 88630107 - где 8863 - PPPoE пакет, 01 - версия протокола, 07 - PADO - понять быт почему при наличии ложного сервера клиент не всегда получает ответ ( других фильтров нет в тестовой среде) - при наличии только легитимных серверов - никаках задержек не будет .
- отлов Левого PPPoE сервер в сети, chesnok, 15:20 , 03-Мрт-08 (3)
- отлов Левого PPPoE сервер в сети, anad, 15:45 , 03-Мрт-08 (4)
>[оверквотинг удален] >>протокола, 07 - PADO - понять быт почему >>при наличии ложного сервера клиент не всегда получает ответ ( >>других фильтров нет в тестовой среде) - при наличии >>только легитимных серверов - никаках задержек не будет . >> > >у меня прекрасно работает решение на основе фильтров ACL на коммутаторах доступа >сервии Dlink 3500,описание варианта решение : > >http://dlink.ru/technical/faq_hub_switch_75.php Все заработало - чертова наука о контактах - достаточно было взять другой патч! там решение с маками, коммутаторы DLINK - 35 - й серии же, фильр выглядит как create access_profile packet_content_mask offset_16-31 0xFFFF00FF 0x0 0x0 0x 0 profile_id 100 config access_profile profile_id 100 add access_id 1 packet_content_mask offset_ 1-24 0x88630007 0x0 0x0 0x0 port 1 deny то есть без версии протокола :(
|